MESURE DE MAITRISE DES

RISQUES INSTRUMENTEES
SOMMAIRE
• Introduction
• Les Mesures de Maîtrise des Risques Instrumentées
• Prise en compte dans les études de dangers
- Règles minimales permettant de retenir une MMRi.
- Indépendance entre MMRi.
• Critères de performance des MMRi
- Exigences techniques de conception matérielles.
- Exigences sur le développement logiciel.
- Prise en compte de l’action humaine.
• Exploitation et maîtrise du vieillissement
• Évaluation des MMRi
- Méthode d'évaluation.
- Préparation et réalisation d'une inspection.
INTRODUCTION

Les systèmes instrumentés de sécurité sont utilisés depuis de

nombreuses années pour réaliser des instruments de sécurité
fonctionnels dans les industries de transformation. Si les
instruments doivent être utilisés efficacement pour les fonctions
sécurité instrumentées, il est essentiel que cette instrumentation
atteigne un certain minimum normes et niveaux de performance.
DÉFINITION ET TYPOLOGIE DES MMRI
1.1 Rappel sur la sécurité
DÉFINITION ET TYPOLOGIE DES MMRI
1.1 Rappel sur la sécurité
DÉFINITION ET TYPOLOGIE DES MMRI
1.1 Rappel sur la sécurité
DÉFINITION ET TYPOLOGIE DES MMRI

1.1 Rappel sur la sécurité

• Qu'est-ce que la sécurité au travail ?

• Le concept de sécurité au travail appuie son existence sur un postulat de départ

assez simple : toute activité professionnelle engendre des risques pour la sécurité
d'un travailleur, à des degrés plus ou moins élevés. La notion de sécurité au travail
ne cesse de donner naissance à de nouvelles règlementations, de nouvelles mesures,
des innovations. Bien que les chiffres de la sécurité au travail révèlent que l'homme
est en cause dans plus de deux tiers des accidents de travail, la tâche des
dirigeants d'entreprises est de réduire au maximum les risques afin de protéger
leurs salariés et de préserver leur intégrité physique et morale.
DÉFINITION ET TYPOLOGIE DES MMRI

1.1 Rappel sur la sécurité au travail

• La santé et sécurité au travail désigne diverses disciplines visant à supprimer ou à limiter

certains effets nuisibles du travail sur l'être humain (santé physique ou mentale) et sur son
environnement (santé environnementale).

• Ces notions, apparues relativement récemment dans le champ du droit du travail — au xixe
siècle avec le développement industriel autour duquel s'est progressivement construit le droit
du travail —, ont été mises en œuvre avec des premières mesures de protection au bénéfice
des travailleurs les plus vulnérables : les femmes et les enfants. L’appellation « santé et
sécurité au travail » désigne ce qu'on appelait autrefois « hygiène, sécurité et conditions de
travail ».
DÉFINITION ET TYPOLOGIE DES MMRI

1.2 La santé et sécurité au travail : les principes de la prévention des risques.

• Afin de respecter son obligation de sécurité, l’employeur est tenu de prendre toutes les
mesures nécessaires afin d’assurer la sécurité et de protéger la santé physique et mentale
de ses collaborateurs. Pour cela, il doit gérer des actions de prévention des risques
professionnels et de la pénibilité au travail (ex. rappel des consignes par voie d’affichage,
mise en place du Document unique des risques, …), mettre en place des actions
d’information et de formation des salariés sur la santé et la sécurité (ex : exercices
d’incendie, formation SST, SIAP, gestes et postures …) ainsi qu’une organisation et des
moyens de travail adaptés.

• Bien évidemment, ces mesures doivent s’adapter en permanence aux circonstances afin de
maintenir le niveau de protection ou de l’améliorer.
DÉFINITION ET TYPOLOGIE DES MMRI
1.2 La santé et sécurité au travail : les principes de la prévention des risques

• En outre, les actions de l’entreprise doivent s’appuyer sur les 9 principes généraux de prévention qui sont :

• Eviter les risques

• Evaluer les risques ne pouvant être évités
• Combattre les risques à la source
• Tenir compte de l’évolution de la technique.
• Remplacer ce qui est dangereux par ce qui l’est moins ou pas du tout
• Planifier la prévention
• Prendre des mesures de protection collective.
• Donner des instructions appropriées aux travailleurs.

• Afin de privilégier une approche multifactorielle de la prévention des risques professionnels

(organisationnelle, humaine, technique, …), ces principes doivent être mis en œuvre dans le respect des
valeurs essentielles et des bonnes pratiques de la prévention.
ANIMATION
DÉFINITION ET TYPOLOGIE DES MMRI

2.1 Rappel sur les MMR

• Les MMR sont définies dans le cadre des études de dangers dans un objectif de prévention et de
réduction des accidents majeurs. Elles doivent répondre aux exigences fixées à l’article 4 de
l’arrêté du 29 septembre 2005.
• En particulier, une barrière de sécurité doit, pour être retenue comme MMR pour un scénario
d'accident, être indépendante des événements initiateurs conduisant à sa sollicitation, c’est-à-dire :
• - un événement initiateur à l’origine du scénario d’accident ne doit pas lui-même entraîner une
défaillance ou une dégradation de la performance de la MMR ;
• - le scénario d'accident ne doit pas avoir pour origine une défaillance d'un élément de la MMR.
• Des croquis en annexe 1 illustrent ces principes pour le cas de chaînes instrumentées.
DÉFINITION ET TYPOLOGIE DES MMRI
2.2 Définition d’une MMRI
• Une MMRI est une MMR constituée par une chaîne de traitement comprenant une prise d'information
(capteur, détecteur…), un système de traitement (automate, calculateur, relais…) et une action
(actionneur avec ou sans intervention d’un opérateur).
• La MMR ne peut être considérée comme MMRI que si l'intervention humaine, lorsqu'elle existe, est
limitée à une action déclenchée suite à une alarme elle-même déclenchée sans intervention humaine
(le §2.4 définit des conditions de prise en compte de l’action humaine). Version du 04/09/13 2
Cette définition de MMRI est retenue pour l’application de l’arrêté du 4 octobre 2010, section 1,
art.7. Elle vient préciser le guide DT 93 pour la gestion et la maîtrise du vieillissement des MMRI.

• En termes de doctrine, la notion de MMRI est distincte de la notion de MMR technique utilisée dans
l’application des filtres (PPRT et MMR) pour l’exclusion de certains accidents ou phénomènes
dangereux.
• En particulier, les MMRI avec action humaine ne sont pas des « MMR techniques » au sens de la
circulaire du 10 mai 2010. A l’inverse, une MMRI peut être considérée comme une MMR technique si
elle ne comporte pas d’intervention humaine et être utilisée dans l’application des filtres PPRT et
MMR.
DÉFINITION ET TYPOLOGIE DES MMRI
2.2 Définition d’une MMRI

• Les deux croquis suivants illustrent, de manière générale, les cas où une chaîne instrumentée
peut être reconnue comme MMRI :
Illustrations de chaînes instrumentées avec intervention humaine à
considérer ou non comme MMRI
Illustrations de chaînes instrumentées avec intervention humaine à
considérer ou non comme MMRI
Illustrations de chaînes instrumentées avec intervention humaine à
considérer ou non comme MMRI
Illustrations de chaînes instrumentées avec intervention humaine à
considérer ou non comme MMRI
Illustrations de chaînes instrumentées avec intervention humaine à
considérer ou non comme MMRI
Illustrations de chaînes instrumentées avec intervention humaine à
considérer ou non comme MMRI
2.3 Distinction MMRI de Sécurité (MMRIS) et MMRI de Conduite (MMRIC)

• Les MMRI sont classées en

deux catégories appelées
MMRI de conduite
(MMRIC) et MMRI de
sécurité (MMRIS) et
définies ci-après. Les
MMRIC et MMRIS peuvent
être distinguées comme
sur le croquis suivant :
2.3.1 MMRI de Sécurité (MMRIS)

Une MMRIS repose sur un système instrumenté de sécurité, c'est-à-dire un système combinant capteur(s), unité
de traitement et actionneur(s) ayant pour objectif de remplir exclusivement des fonctions de sécurité. Elle se
matérialise par exemple par :

• Une sécurité de pression haute avec ouverture automatique d’une vanne ;

• Une alarme de sécurité avec intervention de l’operateur sur un bouton-poussoir…

De manière générale, une chaîne instrumentée est considérée comme MMRIS lorsque ses éléments sont
uniquement dédiés à la sécurité. Toutefois, les éléments d’une chaine de sécurité peuvent aussi être utilisés
pour la conduite de l’installation, sous réserve :

• Qu'ils ne soient pas susceptibles de conduire à un évènement initiateur a l’origine du scenario d’accident,
• Que l'action de sécurité qu’ils assurent soit prioritaire sur toutes leurs autres actions,
• Qu’ils ne soient pas déjà pris en compte dans une MMRIC pour ce scénario.
 2.3.1 MMRI de Sécurité (MMRIS)

Dans le cas où un exploitant propose une MMRI basée sur un automate dédié également à des fonctions de
conduite, l’exploitant doit a minima justifier du respect des dispositions suivantes :

• L'automate est un APS (automate programmable de sécurité) et ne gère que des opérations de conduite
simples comme des actions binaires (ex : commandes de fermeture et d'ouverture de vannes par un
opérateur lors d’une opération de dépotage, commande de marche/arrêt…) ;
• La défaillance (matériel ou logiciel) des fonctions de conduite n'a pas d’impact sur les fonctions de sécurité ;
• Toute modification des consignes relatives à une fonction de conduite est gérée avec la même exigence
qu’une modification des consignes relatives aux fonctions de sécurité.

De plus, pour les nouvelles MMRIS, la chaîne de sécurité est conforme aux normes NF EN 61508 et NF EN
61511 .

L'inspection se prononcera sur l’acceptabilité de la chaîne en tant que MMRIS en se basant en tant que de
besoin sur une tierce expertise qui examinera le respect des critères ci-dessus.
2.3.1 MMRI de Sécurité (MMRIS)
2.3.1 MMRI de Sécurité (MMRIS)
2.3.1 MMRI de Sécurité (MMRIS)
2.3.1 MMRI de Sécurité (MMRIS)
2.3.1 MMRI de Sécurité (MMRIS)
2.3.2 Niveau d’Intégrité de Sécurité (SIL)
2.3.2 Niveau d’Intégrité de Sécurité (SIL)
 2.4 Directives et normes relatives à la sécurité fonctionnelle

L’événement catalyseur a été un accident survenu en juillet 1976 dans la ville de Seveso, dans le nord de
l’Italie, au cours duquel un nuage de gaz toxique avait été libéré. Depuis, la directive européenne 96/82/CE a
défini les exigences légales pour les installations qui présentent un danger potentiel majeur (directive Seveso II).
En Allemagne, cette directive a été transposée par l’Ordonnance sur l’incidence des dangers dans le cadre de la
loi fédérale sur le contrôle des immissions et par l’Ordonnance sur la sécurité du travail dans l’entreprise
(12e BImSchV et BetrSichV).

Dans ce contexte, une distinction doit être opérée entre la sécurité des produits au sens général et les produits
développés et conçus spécifiquement pour les fonctions en lien avec la sécurité. Pour ces derniers, la norme DIN
EN 61508 est indispensable, car elle définit aujourd’hui les règles de l’art pour les techniques de sécurité
fonctionnelle.

Elle détermine quatre niveaux de sécurité : de SIL 1 à SIL 4. La norme CEI/DIN EN 61508 est une norme
générique, c’est-à-dire indépendante de l’application. Il s’agit d’une norme de base, ce qui la rend globalement
applicable à tous les systèmes électriques, électroniques ou électroniques programmables (E/E/PE). C’est le
premier ensemble de règles et de réglementations publié à l’échelle internationale pour les fonctions de sécurité
dans les applications critiques pour la sécurité.
 2.4 Directives et normes relatives à la sécurité fonctionnelle

À qui s’appliquent les normes CEI/DIN EN 61508 et CEI/DIN EN 61511 ?

L’analyse des dangers et des risques peut être utilisée pour déterminer tous les risques liés à un
système. Elle peut servir à décider si des systèmes instrumentés de sécurité sont nécessaires. La
sécurité fonctionnelle intervient dans l’industrie des process, où des systèmes de sécurité
comparables avec une norme correspondante étaient employés auparavant. Ces types de produits
peuvent être utilisés dans d’autres systèmes avec un risque de sécurité analogue. Il est important de
se rappeler que l’ensemble du système instrumenté de sécurité doit être pris en compte avec tous
ses composants. En outre, la norme CEI/DIN EN 61511 découle de la norme CEI/DIN EN 61508 en
tant que norme de base pour l’industrie des process. De même, la norme CEI/DIN EN 62061 en
découle pour la directive sur les machines et la norme CEI/DIN EN 50156 pour les chaudières.

Modifications par rapport aux précédentes normes de sécurité Les exigences applicables aux
systèmes liés à la sécurité sont détaillées dans la norme CEI/DIN EN 61508 relative à la sécurité
fonctionnelle. Les capteurs, les systèmes de commande et les actionneurs (élément final) doivent
disposer d’une classification SIL comme indiqué par la norme. Alors qu’autrefois des considérations
purement qualitatives
 2.5 Réduction du risque

Chaque application technologique comporte également un risque lié à la sécurité. Plus le danger est
important pour les personnes, l’environnement ou les biens, plus il est nécessaire de prendre des
mesures pour minimiser le risque. Les applications industrielles présentent de nombreux systèmes
et appareils avec un potentiel de danger variable. Afin d’obtenir le niveau de sécurité requis pour
ces systèmes, les éléments relatifs à la sécurité
pour les systèmes de protection et de sécurité doivent fonctionner correctement et se comporter de
manière à ce
que le système reste dans un état de sécurité ou passe à un état de sécurité en cas de défaut.

L’objectif de la norme CEI EN 61508 est de prévenir ou contrôler les erreurs au sein des systèmes
relatifs à la sécurité et de limiter la probabilité de défaillances dangereuses d’une manière définie.
Une documentation quantitative est exigée pour les éventuels risques résiduels. La réduction du
risque requise est obtenue en combinant toutes les mesures de protection. Le risque résiduel ne doit
pas excéder le risque tolérable. Au final, l’exploitant de l’installation doit assumer et accepter le
risque résiduel.
2.6 Déterminer le SIL requis
 2.6 Déterminer le SIL requis

Des systèmes différents entraînent des risques différents. Par conséquent, les exigences relatives
aux défauts de sécurité des systèmes instrumentés de sécurité (SIS) deviennent plus strictes à
mesure que le risque s’accroît.

Les normes CEI/EN 61508 et CEI/EN 61511 définissent quatre niveaux de sécurité différents qui
décrivent les mesures de contrôle du risque dans ces composants. Il s’agit des quatre niveaux
d’intégrité de sécurité, ou SIL (Safety Integrity Level).

Plus la valeur numérique du niveau d’intégrité de sécurité (SIL) est élevée, plus la réduction du
risque est importante. Cela signifie que le SIL représente la dimension correspondant à la
probabilité que le système de sécurité puisse remplir correctement les fonctions de sécurité requises
pendant un laps de temps précis. La probabilité de défaillance moyenne (PFD ou PFH) baisse selon
un facteur de 10 par niveau de sécurité.
2.6 Déterminer le SIL requis